WinUpGo
Demo oyunlarƏN YAXŞI Kazino
ƏN YAXŞI KazinoKAZİNO ProqramıDünya KazinoTelegram KazinoBot Kazinoİdman Kazinoİsti Mövzular
KAZİNO ProqramıDünya KazinoTelegram KazinoBot Kazinoİdman Kazinoİsti Mövzular
Axtarış
WinUpGo Wiki - onlayn casino, slot və iGaming sənayesinin ensiklopediyası WUG WIKI
Depozitsiz bonuslar Bonuslar
Oyun avtomatlarının provayderləri Provayderlər
Oyun maşınları Top Slots
CASWINO
SKYSLOTS
BRAMA
TETHERPAY
777 FREE SPINS + 300%
Şəxsi kabinet Kabinet
Community Chat Australian Pokies
Onlayn söhbət Chat
Onlayn dəstək Dəstək
Kriptovalyuta Casino Kriptovalyutalar Torrent Gear - universal torrent axtarış! Torrent Gear

GDPR/ISO 27001: log və data saxlama tələbləri

1) Niyə vacibdir

Qeydlər və bazalar şəxsi məlumatlardır (IP, cookie-ID, device-ID, user-ID, davranış hadisələri). Beləliklə, onlar: emal qanuniliyi və şəffaflığı, məqsəd və müddətlərin məhdudlaşdırılması, minimallaşdırma, dəqiqlik, bütövlük/məxfilik, həmçinin subyektlərin hüquqları (GDPR). ISO 27001 idarəetmə və texniki nəzarət əlavə edir: loging siyasəti, monitorinq, aktivlərin qorunması, giriş idarəetməsi, rezervasiya, kriptoqrafiya və dəyişikliklərin idarə edilməsi.

2) Hüquqi əsas və məqsədlər (GDPR)

Loginq məqsədləri: təhlükəsizlik, insidentlərin araşdırılması, qanunların icrası, maliyyə auditi, frodla mübarizə.

Hüquqi əsaslar:
  • Legitimate interests - kibertəhlükəsizlik, antifrod; maraqlar balans test edin.
  • Legal obligation/contract - mühasibat uçotu, vergi hesabatı, AML/KYC izi.
  • Consent - yalnız analitik/marketinq üçün, «ciddi zəruri» security-loqlar üçün deyil.
  • Şəffaflıq: Privacy Notice-də xəbərdarlıq edin, qeydlər/şərtlər/alıcı kateqoriyaları haqqında ayrıca bölmə ayırın.

3) DPIA və risk yanaşma

Geniş miqyaslı davranış monitorinqi üçün DPIA aparın (oyun hadisələri, davranış biometrikası, antifrod profilləri). Təsvir edin: məqsədlər, həcmlər, risklər, yüngülləşdirici tədbirlər (təxəllüsləşmə, rollara giriş, qısa saxlama müddəti, açarların ayrıca saxlanması).

4) Subyektlərin hüquqları və istisnaları

Giriş/nüsxə: log kateqoriyaları və dövrlər haqqında məlumat verin; təhlükəsizlik nişanlarını açıqlamayın.

Düzəliş/məhdudlaşdırma/etiraz: təhlükəsizlik və hüquqi vəzifələr üçün tələb vs sorğu qiymətləndirilməsi.

Çıxarılması: Saxlama iddialardan, qanunun icrasından və ya hadisənin araşdırılmasından qorunmaq üçün zəruridirsə, istisnalar mümkündür; həllini və yenidən baxılma müddətini qeyd edin.

5) Saxlama müddəti (retention) və minimuma endirilməsi

Retenshen matrisini düzəldin: nə, harada, niyə, müddət, əsas, kimin sahibi, harada özgəninkiləşdirilir.

Prinsiplər:
  • Yüksək həssas log üçün qısa müddət (IP/UA ilə xam sorğular, aqreqatsız telemetri).
  • Uzun müddətli analitika üçün aqreqasiya və təxəllüsləşdirmə (məsələn, IP əvəzinə hash/token).
  • Avtomatik silmə/anonimləşdirmə; «müddətsiz» logların qadağan edilməsi.
Nümunə (göstərişlər, yurisdiksiyaya/tənzimləyiciyə uyğunlaşdırın):
  • Veb server qeydləri (IP, UA, yol) - 30-90 gün (təhlükəsizlik/treysinq).
  • Audit-trail inzibati hərəkətlər - 1-3 il (təhlükəsizlik/komplayens).
  • Ödəniş əməliyyatları (metadata) - 5-10 il (mühasibat uçotu/vergilər, yerli tələblər).
  • KYC/AML-artefaktlar - yurisdiksiya qanununa görə (çox vaxt 5-7 il).
  • Antifrod fiçləri - 6-24 ay. ehtiyacın müntəzəm yenidən qiymətləndirilməsi ilə.

6) ISO 27001: log və monitorinq üçün nə tələb olunur (təcrübə)

Loqinq və monitorinq siyasəti: hadisələri, həcmləri, səviyyələri, məsuliyyəti, saxlanması, təhlili, eskalasiyanı müəyyən edin.

Texniki nəzarət (loging):
  • Əhəmiyyətli hadisələrin tutulması (autentifikasiya/avtorizasiya, hüquqların/konfiqurasiyaların dəyişdirilməsi, məlumatlara giriş, kritik əməliyyatlar, inzibati hərəkətlər, təhlükəsizlik səhvləri).
  • Vaxt sinxronizasiyası (NTP, qorunan mənbə), vaxt zonaları və dəqiq etiketləri (millisaniyələr) saxlayın.
  • Bütövlük qorunması: WORM anbarları, dəyişməz indekslər, hash zəncirləri/imzalar, «yalnız əlavə» giriş nəzarəti.
  • Mühit və jurnalların ayrılması (prod/stage/dev), sirlərin və PII-nin izolyasiyası.
Fəaliyyətlərin monitorinqi:
  • SIEM/UEBA, hadisələrin korrelyasiyası, hədlər və risklər, playbuklara reaksiya.
  • Kritik zonalarda (administrator, ödənişlər, DWH) müntəzəm «əl» log icmalları.
  • Rollar və vəzifələr: aktivin sahibi, jurnalın sahibi, informasiya təhlükəsizliyi/komplayens zabiti, insident prosesi.
  • Qeydlərin həyat dövrü: yığma → nəqliyyat (TLS/mTLS) → saxlama (şifrələmə, saxlama sinifləri) → analiz → retenshen/silmə (silinmə faktını qeyd etmək).

7) Məlumatların təsnifatı və giriş nəzarəti

Məlumat sinifləri: Public/Internal/Confidential/Restricted (PII/Finance/KYC).

Maska/redaksiya siyasəti: həssas sahələri (PAN, CVV, parollar, tokenlər) istisna edin.

RBAC/ABAC: minimum tələb olunan giriş, ayrı rollar «oxu» və «nəzarət».

Jurnallara giriş jurnalları (meta jurnallar): kim, nə vaxt, nəyə müraciət etdi.

8) Kriptoqrafiya, açarlar və nəqliyyat

Transferi şifrələmə: TLS 1. 2+/1. 3, agentlər və kollektor arasında mTLS, sertifikatların yoxlanılması.

Dinc şifrələmə: disklər/obyekt saxlama, KMS/HSM açarları, açarların rotasiyası, müxtəlif məlumat sinifləri üçün fərdi açarlar.

Seqmentasiya: PII və texniki log üçün ayrı-ayrı bakets/indekslər.

9) Ehtiyat nüsxələr, ofsayt arxivi və bərpa

Backup: cədvəl, şifrələmə, bərpa nəzarəti (müntəzəm DR-təlimlər), yenidən yazma/şifrələmə əleyhinə müdafiə.

Offsayt/multi-region: lokalizasiya/transsərhəd ötürmə tələbləri (DPA, SCC, adekvatlıq) nəzərə alınmaqla.

Birdəfəlik müddətlər: backup retenshen proda çıxarılma müddətini «sıfırlamamalıdır»; arxiv ekspirasiyasını avtomatlaşdırın.

10) Üçüncü tərəflərə ötürülməsi (prosessorlar)

DPA log-analitik/bulud/kollektor provayderləri ilə: rollar, subprosessorlar, saxlama yerləri, mühafizə tədbirləri, çıxarılma vaxtı.

Transsərhəd ötürmə: hüquqi mexanizmlər (SCC və s.), texniki tədbirlər (keçici şifrələmə, təxəllüs).

Audit və hesabatlılıq: audit hüququ, SOC hesabatları/sertifikatları, giriş jurnalları.

11) Hadisələr və bildirişlər (GDPR)

Aşkarlama və fiksasiya: SIEM-alertlər, hadisə bileti, müvafiq qeydlərin dondurulması (legal hold).

Şəxsi məlumatların əhəmiyyətli dərəcədə sızması halında tənzimləyiciyə bildiriş vermək üçün 72 saat; təsirin qiymətləndirilməsi, bildirişin tərkibi, tədbirlərin sübutları.

Post-mortem: siyasət/nəzarət nəticələr, yeniləmə/maskalama.

12) Tipik səhvlər və onlardan necə qaçmaq olar

Həssas sahələrin (parollar, tokenlər, PAN/CVV) loqosu → SDK/sarğı səviyyəsində maskalanır.

Limitsiz technical-log «hər ehtimala qarşı» → TTL və anonimləşdirmə qoyun.

SIEM → rolları paylaşın və MFA-nı açın.

Paylaşılmamış prod/dev jurnalları → səpələyin və girişi məhdudlaşdırın.

Retenshen matrisi və avtomatik bölünmələrin olmaması → GDPR cərimələri və həddindən artıq sızma riskləri.

şifrələmə/ekspirasiya olmadan backaps → «əbədi» PII nüsxələri.

13) Retenshen matrisi (nümunə)

KateqoriyaSahə nümunəsiMəqsədƏsasSon tarixSaxlama/SinifSahibiQeyd
Web-accessIP, UA, PathTəhlükəsizlikLegitimate interest60 günWORM-bucket (Encrypted)SecOps30 gün ≥ yığmaq
Auth-audituserId, actionAraşdırmaLegitimate interest1 ilSIEM/Index (Encrypted)SecOpsMFA tələb olunur
Admin-auditadminId, changesGiriş nəzarətiLegal/Contract3 ilWORM-vaultCISOSilinməməsi
Payments metatxnId, amountsMühasibat uçotu/vergilərLegal5-10 ilEncrypted DB/ArchiveFinanceYurisdiksiyaya görə
KYC/AMLdocHash, checksQanunLegal5-7 ilEncrypted VaultComplianceDPIA/Legal hold
Anti-fraud featuresdevice, clusterTəhlükəsizlikLegitimate interest12-24 ayPseudonymized StoreRiskMüntəzəm baxış

14) Loqinq və saxlama siyasəti (skelet)

1. Sahə və terminlər.

2. Log kateqoriyaları və hədəfləri.

3. Hüquqi əsaslar və bildiriş.

4. Təsnifat və minimallaşdırma.

5. Toplama, nəqliyyat, saxlama (şifrələmə, bütövlük, WORM).

6. Giriş və rollar, giriş auditi.

7. Retenshen və avtomatik çıxarılması/anonimləşdirilməsi.

8. Üçüncü şəxslərə ötürülməsi (DPA, SCC).

9. Monitorinq, SIEM, alertinq, hesabat.

10. Hadisələr və bildirişlər (72 saat daxil olmaqla).

11. DR/BCP, backup və bərpa.

12. Periodik yenidən baxılması (hər il/proseslərin dəyişməsi zamanı).

15) Giriş çek siyahısı (sürətli başlanğıc)

  • Bütün giriş mənbələrini və PII sahələrini inventarlaşdırın; SDK səviyyəsində maskalamanı açın.
  • Retenshen matrisini təsdiqləyin və TTL/anonimləşdirməni avtomatlaşdırın.
  • Kritik jurnallar və hash bütövlük nəzarəti üçün WORM/immutability konfiqurasiya.
  • Agentlər/kollektorlar üçün mTLS/TLS; at-rest şifrələmə; KMS açarları, rotasiya.
  • SIEM/UEBA, alert və playbook; jurnallara giriş meta jurnalları.
  • Davranış monitorinqi/antifrod üçün DPIA; LIA для legitimate interests.
  • Bütün prosessorlar/buludlar ilə DPA; transsərhəd ötürmə zamanı məlumat yeri və SCC yoxlama.
  • DR-log bərpa və backup aradan qaldırılması təlimləri; hesabat.
  • Privacy Notice (qeydlər/tarixlər haqqında bölmə) və subyektlərin daxili sorğu prosedurlarını yeniləyin.

Xülasə

GDPR qanuniliyi, şəffaflığı, minimuma endirilməsi və məhdud müddətləri tələb edir, ISO 27001 isə sistemliliyi və sübut oluna biləcəyini tələb edir: siyasət, rollar, texniki nəzarət, dəyişməzlik və monitorinq. Retenshen matrisini formalaşdırın, maskalamanı və təxəllüsünü daxil edin, nəqliyyat/anbarı şifrələyin, WORM və SIEM tətbiq edin, DPA bağlayın və DPIA hazırlayın - belə ki, jurnal izi tənzimləyici və reputasiya risklərinin mənbəyinə çevrilmədən təhlükəsizlik və audit üçün faydalı olaraq qalacaq.

× Oyunlarda axtarış
Axtarışı başlatmaq üçün ən azı 3 simvol daxil edin.